Este documento inclui as práticas recomendadas e diretrizes para a nuvem privada virtual (VPC) ao executar cargas de trabalho de IA generativa noGoogle Cloud. Use a VPC com a Vertex AI para isolar seus recursos de IA da Internet em um ambiente seguro. Essa configuração de rede ajuda a proteger dados e modelos sensíveis contra acesso não autorizado e possíveis ataques cibernéticos.
É possível definir regras de firewall granulares e controles de acesso na sua rede VPC para restringir o tráfego e permitir apenas conexões autorizadas a recursos específicos.
Organize seus recursos da Vertex AI em redes VPC separadas com base em requisitos de função ou segurança. Esse tipo de organização ajuda a isolar recursos e impede o acesso não autorizado entre diferentes projetos ou equipes. É possível criar redes VPC dedicadas para cargas de trabalho sensíveis, como modelos de treinamento com dados confidenciais, garantindo que apenas usuários e serviços autorizados tenham acesso à rede.
É possível usar o Cloud VPN ou o Cloud Interconnect para estabelecer uma conexão de rede segura entre sua infraestrutura local e seu ambiente da Vertex AI. O Cloud VPN ou o Cloud Interconnect ajudam a permitir a transferência de dados e a comunicação entre sua rede particular e os recursos do Google Cloud . Considere essa integração para cenários como acesso a dados locais para treinamento de modelo ou implantação de modelos em recursos locais para inferência.
Controles obrigatórios da VPC
Os controles a seguir são altamente recomendados ao usar a VPC.
Bloquear a criação de rede padrão
| ID de controle do Google | VPC-CO-6.1 |
|---|---|
| Categoria | Obrigatório |
| Descrição | A restrição booleana compute.skipDefaultNetworkCreation pula a criação da rede padrão e dos recursos relacionados ao criar projetos Google Cloud . Por padrão, uma rede é criada automaticamente com regras de firewall e configurações de rede que podem não ser consideradas seguras. |
| Produtos aplicáveis |
|
| Caminho | constraints/compute.skipDefaultNetworkCreation |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil de CRI |
|
| Informações relacionadas |
Definir a lista de instâncias de VM que podem ter endereços IP externo
| ID de controle do Google | VPC-CO-6.2 |
|---|---|
| Categoria | Obrigatório |
| Descrição | A restrição de lista compute.vmExternalIpAccess define o conjunto de instâncias de VM do Compute Engine que podem ter endereços IP externo. Essa restrição não é retroativa. |
| Produtos aplicáveis |
|
| Caminho | constraints/compute.vmExternalIpAccess |
| Operador | = |
| Valor |
|
| Tipo | Lista |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil de CRI |
|
| Informações relacionadas |
Definir instâncias de VM que podem ativar o encaminhamento de IP
| ID de controle do Google | VPC-CO-6.3 |
|---|---|
| Categoria | Obrigatório |
| Descrição | A restrição compute.vmCanIpForward define as instâncias de VM que podem ativar o encaminhamento de IP. Por padrão, qualquer VM pode ativar o encaminhamento de IP em qualquer rede virtual. Especifique as instâncias de VM usando um dos seguintes formatos:
|
| Produtos aplicáveis |
|
| Caminho | constraints/compute.vmCanIpForward |
| Operador | = |
| Valor |
|
| Tipo | Lista |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil de CRI |
|
| Informações relacionadas |
Desativar a virtualização aninhada da VM
| ID de controle do Google | VPC-CO-6.6 |
|---|---|
| Categoria | Obrigatório |
| Descrição | A restrição booleana compute.disableNestedVirtualization desativa a virtualização aninhada acelerada por hardware para VMs do Compute Engine. |
| Produtos aplicáveis |
|
| Caminho | constraints/compute.disableNestedVirtualization |
| Operador | Is |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil de CRI |
|
| Informações relacionadas |
A seguir
- Confira mais Google Cloud práticas recomendadas e diretrizes de segurança para cargas de trabalho de IA generativa.